Поделиться через


Общие сведения о пометке нежелательной почты

Применимо к: Exchange Server 2010

Последнее изменение раздела: 2010-01-28

В Microsoft Exchange Server 2010 марки для борьбы с нежелательной почтой позволяют диагностировать проблемы, связанные с нежелательными сообщениями, с помощью диагностических метаданных, или марок, например сведений об отправителе, результатов проверки задачи, результатов фильтрации содержимого, которые применяются к сообщениям, проходящим через функции защиты от нежелательной почты при фильтрации входящих сообщений из Интернета. Существует три марки для борьбы с нежелательной почтой: марка вероятности фишинга, марка вероятности нежелательной почты и марка кода отправителя.

В этом разделе описан способ просмотра марок для борьбы с нежелательной почтой и содержатся сведения о содержимом отчета о нежелательной почте.

Марки можно использовать как средства диагностики, чтобы определить, какие действия следуют предпринять в случае возникновения ошибочно положительных оценок для сообщений, которые человек получает в почтовый ящик и которые могут быть нежелательными.

Необходимы сведения о других задачах управления, связанных с управлением транспортными серверами? См. раздел Управление транспортными серверами.

Просмотр марок для борьбы с нежелательной почтой

Марки для борьбы с нежелательной почтой можно просмотреть при помощи Microsoft Office Outlook 2007. Для получения дополнительных сведений о просмотре марок см. раздел Просмотр пометок нежелательной почты в Outlook 2007.

Общие сведения об отчете о нежелательной почте

Отчет о нежелательной почте — это итоговый отчет по результатам применения фильтра нежелательной почты к сообщению электронной почты. Агент фильтрации содержимого применяет эту марку к конверту сообщения в виде X-заголовка следующим образом.

X-MS-Exchange-Organization-Antispam-Report: DV:<DATVersion>;CW:CustomList;PCL:PhishingVerdict <verdict>;P100:PhishingBlock;PP:Presolve;SID:SenderIDStatus <status>;TIME:<SendReceiveDelta>;MIME:MimeCompliance 

В следующей таблице описаны сведения о фильтре, которые могут отображаться в отчете о нежелательной почте.

Aa996878.note(ru-ru,EXCHG.140).gifПримечание.
Отчет о нежелательной почте содержит только сведения, полученные от фильтров, через которые прошло данное сообщение. Обычно этот отчет содержит не все сведения, приведенные в следующей таблице. Например, пользователь может получить следующий отчет о нежелательной почте: DV:3.1.3924.1409;SID:SenderIDStatus Fail;PCL:PhishingLevel SUSPICIOUS;CW:CustomList;PP:Presolved;TIME:TimeBasedFeatures.

Сведения о фильтре в отчете о нежелательной почте

Марка Описание

SID

Марка кода отправителя (SID) основывается на системе политики отправителя (SPF), которая определяет использование доменов в сообщениях электронной почты. SPF отображается в конверте сообщения в виде Received-SPF. Процесс анализа кода отправителя формирует состояние кода отправителя для сообщения. Это состояние может принимать одно из следующих семи значений:

  • Pass   IP-адрес и предполагаемый адрес (PRA) прошли проверку идентификации отправителей.
  • Neutral   Опубликованные данные кода отправителя являются явно незавершенными.
  • Soft fail   IP-адрес для PRA может быть включен в запрещенный набор.
  • Fail   IP-адрес запрещен; адрес PRA не найден во входящей почте или отправляющий домен не существует.
  • None   Опубликованных данных системы политики отправителя не существует в DNS отправителя.
  • TempError  Временный сбой DNS, например, недоступный сервер DNS.
  • PermError   Неверная запись DNS, например ошибка в формате записи.

Марка кода отправителя указывается в виде X-заголовка в конверте сообщения следующим образом:

X-MS-Exchange-Organization-SenderIdResult:<status>

Для получения дополнительных сведений о коде отправителя см. раздел Общие сведения о кодах отправителей.

DV

Марка версии DAT (DV) показывает версию файла описания нежелательной почты, использованного при проверке сообщения.

SA

Марка действий по отношению к подписи (SA) показывает, что сообщение было либо восстановлено, либо удалено на основании подписи, присутствующей в сообщении.

SV

Марка версии подписи DAT (SV) показывает версию файла подписи, использованного при проверке сообщения.

PCL

Марка вероятности фишинга (PCL) отображает оценку сообщения на основании его содержимого и применяется во время обработки сообщения агентом фильтрации содержимого. Это состояние может принимать одно из следующих семи значений:

  • Neutral   Маловероятно, что содержимое этого сообщения связано с фишингом.
  • Suspicious   Вероятно, содержимое данного сообщения — случай фишинга.

Допустимый диапазон значений марки PCL — от 1 до 8. Уровень PCL от 1 до 3 возвращает состояние Neutral. Это значит, что содержимое сообщение вряд ли связано с фишингом. Уровень PCL от 4 до 8 возвращает состояние Suspicious. Это означает, что сообщение, скорее всего, является результатом фишинга.

Эти значения используются для определения того, какое действие Outlook должен выполнить по отношению к сообщению. Outlook использует марку PCL для блокировки содержимого подозрительных сообщений.

Отметка вероятности фишинга указывается в виде X-заголовка в конверте сообщения, как описано ниже.

X-MS-Exchange-Organization-PCL:<status>

SCL

Марка вероятности нежелательной почты (SCL) сообщения отображает оценку сообщения на основании его содержимого. Агент фильтрации содержимого использует технологию Microsoft SmartScreen для получения доступа к содержимому сообщения и назначения уровня SCL каждому сообщению. Диапазон значений марки SCL — от 0 до 9, где 0 — низкая вероятность того, что сообщение является нежелательным, а 9 — высокая вероятность. Действия Exchange и Outlook зависят от параметров порогов SCL.

Марка SCL указывается в виде X-заголовка в конверте сообщения следующим образом:

X-MS-Exchange-Organization-SCL:<status>

Для получения дополнительных сведений о порогах SCL см. раздел Общие сведения о пороге вероятности нежелательной почты.

CW

Марка пользовательского веса (CW) сообщения показывает, что сообщение содержит неразрешенное слово или фразу, а также что значение SCL, или «вес», этого неразрешенного слова или фразы использовано при вычислении итоговой оценки SCL.

  • Неразрешенные, или блокированные, фразы имеют максимальный вес и меняют оценку SCL на 9.
  • Утвержденные, или разрешенные, слова и фразы имеют минимальный вес и меняют значение SCL на 0.

Дополнительные сведения о добавлении утвержденных и неразрешенных слов и фраз в агент фильтрации содержимого см. в разделе Настройка свойств фильтрации содержимого.

PP

Марка предварительно решенной задачи (PP) показывает, что если сообщение отправителя содержит правильную, разрешенную компьютерную почтовую марку, основанную на функциях проверки почтовых марок Outlook, отправитель вряд ли является злоумышленником. В этом случае агент фильтра содержимого снижает оценку SCL.

Агент фильтрации содержимого не изменяет уровень SCL, если включена функция проверки почтовых марок и при этом выполняются следующие условия.

  • Входящее сообщение не содержит компьютерной почтовой марки.
  • Компьютерная почтовая марка недействительна.

Дополнительные сведения о функции проверки почтовых марок см. в разделе Настройка свойств фильтрации содержимого.

TIME:TimeBasedFeatures

Марка TIME показывает, что с момента отправки сообщения и до момента его доставки прошло значительное количество времени. Марка TIME используется для определения конечной оценки SCL для сообщения.

MIME:MIMECompliance

Марка MIME показывает, что сообщение электронной почты не соответствует стандарту MIME.

P100:PhishingBlock

Марка P100 показывает, что сообщение содержит URL-адрес, указанный в файле определения фишинга.

IPOnAllowList

Марка IPOnAllowList показывает, что IP-адрес не включен в список разрешенных IP-адресов. Для получения дополнительных сведений о списке разрешенных IP-адресов см. раздел Общие сведения о фильтрации подключений.

MessageSecurityAntispamBypass

Марка MessageSecurityAntispamBypass показывает, что содержимое сообщения не проходило через фильтры и что отправитель получил разрешение не проходить фильтры нежелательной почты.

SenderBypassed

Марка SenderBypassed показывает, что агент фильтрации содержимого не выполняет фильтрацию содержимого сообщений, получаемых от этого отправителя. Дополнительные сведения см. в разделе Настройка свойств фильтрации содержимого.

AllRecipientsBypassed

Марка AllRecipientsBypassed показывает, что одно из следующих условий выполняется для всех получателей, указанных в сообщении:

  • Для параметра AntispamBypassedEnabled в почтовом ящике получателя установлено значение $true. Этот параметр устанавливается для каждого получателя отдельно, и установить его может только администратор. Для получения дополнительных сведений об этом параметре см. раздел Set-Mailbox.
  • Отправитель сообщения включен в список безопасных отправителей Outlook у получателя. Для получения дополнительных сведений о списке безопасных отправителей см. раздел Настройка объединения списков надежных отправителей.
  • Агент фильтрации содержимого не выполняет фильтрацию содержимого сообщений, отправляемых этому получателю. Дополнительные сведения об исключениях для получателей см. в разделе Настройка свойств фильтрации содержимого.